Компания «Лаборатория Касперского» предупреждает о начале новой фишинговой кампании, направленной против небольших частных фирм из таких отраслей как финтех, инвестиционные и юридические компании. Целью злоумышленников из группы DeathStalker является получение финансовой информации небольших компаний, хотя и финансовые отделы больших компаний также могут пострадать от новой кампании. Эксперты «Лаборатории Касперского» следят за деятельностью группы с 2018 года, однако наиболее старые компоненты вредоносов группы датируются 2012 годом.
В текущей фишинговой кампании злоумышленники для проникновения в операционную систему жертвы используют специальный архив, содержащий несколько ярлыков, которые на самом деле являются PowerScript-сценариями. При распаковке архива и нажатии на один из ярлыков происходит запуск Powersing — основного сценария вредоноса. Он закрепляется в системе и периодически обращается за дальнейшими инструкциям в специально созданные ленты социальных сетей, блоги или мессенджеры. Также хакеры группы DeathStalker при развитии атаки пользуются инструментами семейств Evilnum и Janicab. Специалисты «Лаборатории Касперского» отмечают, что в последнее время группа активизировала свою деятельность и начала атаковать компании в том числе и на территории России.
«DeathStalker — это пример сложной атаки, представляющей собой угрозу для небольших частных фирм. Цели находятся в разных странах и в основном это финтех, инвестиционные и юридические компании, поэтому, скорее всего, мы имеем дело с профессиональными кибернаемниками, выполняющими взломы на заказ, — поясняет Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — Для противодействия DeathStalker мы рекомендуем организациям ограничить или отключить возможность использования скриптовых языков, таких как powershell.exe и cscript.exe, а также объяснить сотрудникам на тренингах по кибербезопасности, что вредоносное ПО может передаваться через фишинг и рассказать, как можно этого избежать».
Поскольку сотрудникам небольших компаний также приходится работать из дома, где качество защиты рабочих мест оставляет желать лучшего и не все соблюдают корпоративные правила безопасности, то подобные атаки вполне могут оказаться успешными. В то же время злоумышленники даже на домашних компьютерах жертв могут получить доступ к ценной информации, которую в дальнейшем могут использовать для проведения мошеннических операций. Поэтому компаниям рекомендуется защищать в том числе и удаленные рабочие места, объяснить сотрудникам особенности фишинговых атак и регулярно проводить учебные тревоги.
